我正在查看Ubuntu 14.04 x64(3.13.0-46-generic)Linux系统的内存快照。
查看System.map文件,.text部分从0xffffffff81000000(虚拟)开始,地址为0x1000000 physical。
我正在尝试在内存中找到实际的ELF标头。具体来说,我试图找出每个部分在没有System.map文件的情况下驻留在内存中的位置,以用于取证目的。 Volatility依赖于拥有一个库存内核的配置文件,但我想要一个通用的方法。
内核启动并运行后,这些标头是否会在内存中保留?
如果没有,是否有某种方法可以确定每个部分从物理内存捕获映射到内存的位置?